マシン再起動後にauditdの設定変更を有効にする設定

auditdの設定ファイルの中身を簡単に変更されないようにするため、設定ファイルをロックしマシンを再起動しないと変更内容が有効にならないようにします。

下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
 
/etc/audit/audit.rulesの最後の行に下記記述を追加します。
 
-e 2
 
●-eオプション
 
設定ファイルの”enabled”を制御するフラグ
 
・フラグを0
 
一時的に監査を無効にしたい場合に使用
 
・フラグの値を1
 
監査を有効にする場合に使用
 
・フラグを2
 
監査を有効にして、設定内容を変更できないようにロックする。
このモードで設定変更しようとすると監査によって拒否される。マシンの再起動によってのみ設定を変更できる。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です